CVE-2019-5544

VMware VMware ESXi and Horizon DaaS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

VMware ESXi and Horizon Desktop as a Service (DaaS) OpenSLP contains a heap-based buffer overflow vulnerability that allows an attacker with network access to port 427 to overwrite the heap of the OpenSLP service to perform remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2019-5544) — это переполнение буфера в куче (heap-based buffer overflow) в службе OpenSLP, используемой в VMware ESXi и Horizon DaaS. Злоумышленник, имеющий доступ к сети, может отправить специально сформированный пакет на порт 427 (TCP/UDP) сервера. Это позволяет перезаписать область кучи процесса OpenSLP и потенциально выполнить произвольный код с правами этой службы, что ведет к полной компрометации узла.

Как исправить

Установите официальный патч от VMware, который устраняет уязвимость. Обновите продукт до одной из исправленных версий.

Для VMware ESXi: * ESXi 6.7: Установите патч ESXi670-201911001 или обновитесь до версии ESXi 6.7 U3 или новее. * ESXi 6.5: Установите патч ESXi650-201911002 или обновитесь до версии ESXi 6.5 U3 или новее. * ESXi 6.0: Установите патч ESXi600-201911001 или обновитесь до версии ESXi 6.0 U3 или новее.

Для Horizon DaaS: * Обновите платформу до версии 8.0.0 или новее.

Процесс обновления ESXi (пример через CLI): 1. Загрузите соответствующий пакет обновления (ZIP) с портала VMware. 2. Поместите его на сервер ESXi или в доступное хранилище данных. 3. Переведите хост в режим обслуживания через vCenter или выполните команду: bash esxcli system maintenanceMode set -e true 4. Установите обновление с помощью esxcli: bash esxcli software vib update -d /путь/к/вашему/патчу.zip 5. Перезагрузите хост и выведите его из режима обслуживания.

Временное решение

Если немедленная установка патча невозможна, изолируйте уязвимый сервис.

  1. Заблокируйте доступ к порту 427 на брандмауэре. На ESXi это можно сделать через командную строку: bash esxcli network firewall ruleset set -r CIMSLP -e false Эта команда отключает правило брандмауэра для службы CIM Server (SLP), которая использует порт 427. Внимание: Это может нарушить работу функций, зависящих от этого сервиса (например, мониторинг через CIM).

  2. Ограничьте сетевой доступ. Настройте правила сетевого брандмауэра (на уровне физического коммутатора, маршрутизатора или виртуального окружения), чтобы разрешить входящие подключения к порту 427 (TCP/UDP) только с доверенных IP-адресов, необходимых для работы (например, с серверов vCenter или систем мониторинга). Полная блокировка входящего трафика из ненадежных сетей (Интернет, сегменты пользователей) является обязательной мерой.

  3. Рассмотрите возможность отключения службы OpenSLP. Если она не используется в вашей среде, ее можно остановить и запретить автозапуск. Однако это критическая системная служба, и ее отключение может привести к непредсказуемым последствиям для работы ESXi. Данное действие рекомендуется только после тщательного тестирования в нерабочей среде.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей